DORA-konforme On-Prem-KI

Erfahre, wie mit sicherer Künstlicher Intelligenz on-premise und der KI-Prozessplattform CLUE relevante Webquellen automatisiert überwacht, Funde nachvollziehbar verarbeitet und Freigaben DORA-konform dokumentiert werden – bei voller DSGVO-Sicherheit.

Was ist DORA?
Kurz: DORA steht für Digital Operational Resilience Act – die EU-Verordnung (EU) 2022/2554 zur digitalen Resilienz im Finanzsektor. Sie verpflichtet Finanzunternehmen und überwachte IKT-Dienstleister zu belastbarem IKT-Risikomanagement, Incident-Meldungen, Resilienztests (inkl. TLPT), Drittparteien-/Cloud-Kontrollen und Informationsaustausch. Seit 17.01.2025 ist DORA EU-weit anzuwenden.

Wir zeigen in unserem aktuellen Leitfaden Themen und Lösungsmöglichkeiten rund um DORA-konforme On-Prem-KI für Dienstleister auf.

Warum „Sichere KI“ gerade für Dienstleister zählt

Für Dienstleistungsunternehmen mit DORA-Bezug, z. B. IT-Services für Finanzkund:innen, Compliance-nahe Beratung) bedeutet „KI sicher“ den Betrieb on-premise im eigenen Rechenzentrum mit klare Rollen & Freigaben (Vier-Augen-Prinzip) und technisch-organisatorische Vorgaben zur Einhaltung der DSGVO.
Ein lückenloser Audit-Trail und strikte Datenminimierung unterstützt beim Ausbau der IKT-Resilienz durch transparentes Monitoring, Logging und Nachvollziehbarkeit.

KI kann in DORA und DSGVO Themen entscheidend den Ressourcenbedarf reduzieren:

• Webquellen-Überwachung: Branchen-/Regulierungsseiten, Aufsichtsbehörden, Lieferanten-Security-Notes, Fachmedien.
• Dokumentierte Verarbeitung: Automatisierte Aufbereitung (RAG), strukturierte Begründung, Versionierung, Historisierung, Freigaben.
• LLM-Optimierung: Guardrails, Prompt-Governance, Domänen-Adapter – alles lokal betrieben.

Wie sehen die rechtlichen Vorgaben an Unternehmen in der europäischen Union aus?

Rechtsrahmen 2025/26 kompakt: DORA, AI Act & DSGVO

Die rechtlichen Vorgaben für eine sichere Nutzung von KI sind in der EU umfassend geregelt:

DORA (EU 2022/2554) setzt den Maßstab für digitale Resilienz im Finanzumfeld; Vorgaben gelten ab 17.01.2025.^[1][3] Der AI Act ist seit 01.08.2024 in Kraft; verbotene Praktiken greifen ab 02.02.2025, Pflichten für General-Purpose-AI folgen gestuft (u. a. ab 02.08.2025).^[4] Für die DSGVO bleiben Art. 6 (Rechtsgrundlagen) und Art. 35 (DSFA/DPIA) zentral – insbesondere bei systematischer Überwachung öffentlich zugänglicher Quellen oder sensiblen Daten.^[5][6]

Ein gutes Vorgehen umfasst:

• Rechtsgrundlage wählen: Art. 6 DSGVO, wie z. B. rechtliche Verpflichtung/öffentliches Interesse oder berechtigtes Interesse mit Interessenabwägung.^[5]
• DSFA (Art. 35) berücksichtigen: Wenn Umfang, Sensibilität oder systematische Überwachung dies nahelegen – inklusive Risikomaßnahmen dokumentieren.^[6]
• AI-Act-Leitplanken unternehmensweit aufstellen: Verbotene Praktiken vermeiden, wie z. B. biometrische Kategorisierung sensibler Merkmale, ungezieltes Web-Scraping zum Wiederverkauf.^[7]

Eine lesenswerte Hilfestellung ist auch die Informationsseite der BaFin zu DORA Dokumentationsanforderungen:

• BaFin Dokumentationsanforderungen nach DORA leicht(er) gemacht

Wie kann eine KI-Unterstützung aussehen?

Vom Web-Monitoring zur dokumentierten Verarbeitung – on-premise mit CLUE

Die Basis für eine sichere Umsetzung ist die Digitalisierung des Gesamtprozesses. Dabei bleibt der Mensch als Entscheidungsträger wichtige Freigaben und Bestätigungen.

So läuft es in der Praxis: Die Lösung wird im eigenen Rechenzentrum betrieben, bei Bedarf mit EU-Cloud-Bursting für Lastspitzen. CLUE übernimmt die Orchestrierung: Die KI-Plattform steuert Crawler für definierte Webquellen (z. B. Aufsichtsbehörden, CERT-Meldungen, Lieferanten-Advisories, Fachmedien), führt LLM-Analysen lokal aus und kombiniert beides per Retrieval-Augmented Generation (RAG).

So entstehen auditfähige Dossiers mit Quellenverweisen, Kernaussagen und Handlungsempfehlungen. Jeder Verarbeitungsschritt ist versioniert (wer hat was wann geändert), wird protokolliert (vollständiges Logging) und über ein Rollen- und Rechtekonzept abgesichert (z. B. Ersteller → Reviewer → Freigeber im Vier-Augen-Prinzip).

Das Ergebnis: deutlich weniger manuelle Recherche, konsistente schnelle Aufbereitung und qualitätsgesicherte Freigaben, die Audit-Anforderungen zuverlässig erfüllen.

Eine gute Lösung berücksichtigt dabei:

1. Quellen Monitoring: Behördenseiten, CERT/CSIRT, Aufsichtsbehörden, Lieferanten-Advisories, Fachpresse.
2. LLM-Optimierung: Domain-Prompts, Policies, Red-Team-Checks, Halluzinations-Filter (RAG), Zitationspflicht.
3. Verarbeitung & Freigabe: Evidenzsammlung, Bewertung (Impact, Relevanz), Freigabe-Workflow mit Vier-Augen-Schritt.
4. Audit-Trail & Export: RFC-fähige Protokolle, SIEM/ITSM-Übergabe, revisionssichere Ablage (periodisch z.B. 24 Monate).

Welche zeitlichen Vorteile bringt die beschriebene Lösung im Prozessablauf?

Optimierte Prozesse: so wird’s nachhaltig

Erwartete Verbesserungen auf Basis von Durchlaufzeiten:

• bis 60 % Zeitersparnis zwischen Monitoring und durchgeführtem Review.
• bis 50 % Zeitvorteil bis Audit-Readiness durch prozessbegleitende Dokumentation,
• bis 40 % weniger Fehler im Monitoring durch LLM-Vorfilter + RAG-Zitation,
• und 100 % verfügbare nachvollziehbare Dokumentation (Versionen, Freigaben)

Welche Themen rund um DORA sollten ebenfalls berücksichtigt werden?

FAQ für TOP Themen rund um DORA

Behalte die folgenden Fragestellungen im Blick, um die Anforderungen kompetent abzudecken:

Cloud vs. On-Prem für DORA?
Für DORA-nahe Dienste bietet On-Prem klare Vorteile (Kontrolle, Nachvollziehbarkeit, Datenhoheit). EU-Cloud kann als Option für nicht-sensible Lastspitzen dienen – Governance & Logging bleiben Pflicht.^[1][3]

Web-Scraping & Quellen-Zitierung?
Nutze nur legitime Quellen, beachte Nutzungsbedingungen, speichere Belege (URL, Datum, Auszug) und zitiere im Dossier. Für Personenbezug: Rechtsgrundlage prüfen, DSFA erwägen.^[5][6]

DPIA/DSFA für KI-Prozesse – wann?
Wenn Art, Umfang oder Zwecke voraussichtlich ein hohes Risiko mit sich bringen (z. B. systematische Überwachung), ist eine DSFA erforderlich.^[6]

Rollen & Freigaben (Vier-Augen-Prinzip)?
Trenne Erstellung, Review, Freigabe. Jede Entscheidung mit Begründung & Version dokumentieren – das erleichtert DORA- und DSGVO-Nachweise.^[1][3][5]

Hinweis: Für Audioaufnahmen gilt in Österreich § 120 StGB – Missbrauch von Tonaufnahme-/Abhörgeräten. Heimliche Aufnahmen und unbefugte Weitergabe können strafbar sein – also vor Aufnahme immer Einwilligung einholen.^[8]

Fazit

Sichere On-Prem-KI ist der effizienteste Weg, DORA-Anforderungen praktisch zu erfüllen und gleichzeitig DSGVO & AI Act einzuhalten. Mit intelligenten KI-gestützten Lösungen wie CLUE wird Web-Monitoring, dokumentierte Verarbeitung und Freigaben in einem prüffähigen Prozess gebündelt. So wird Arbeit weg von repetitiver Recherche und Korrektur hin zu wertschöpfenden Entscheidungen verschoben - für einen messbaren Effizienzgewinn.

Weitere Lesetipps

• Digitale Prozesse wirken
• Sichere, lokale EU KI-Lösungen nutzen
• Einfach intelligenter arbeiten
• Unser CLUE: integrierte Übersetzung für Protokolle
• Anwendungsbeispiele & Use Cases für digitale Prozesse

Quellen

Wir arbeiten transparent: diese Quellen haben unter anderem für unseren Blogbeitrag benutzt und für die Strukturierung unseren intelligenten CLUE Contentassistenten eingesetzt:

1. EUR-Lex: Verordnung (EU) 2022/2554 – DORA
2. WKO: Digital Operational Resilience Act (DORA) – Termine/Infos
3. BaFin: DORA – Überblick & Level-2/3
4. RTR: Zeitplan des AI Act (Inkrafttreten & Stufen)
5. EUR-Lex: DSGVO (VO (EU) 2016/679) – Art. 6, Art. 35
6. Art. 35 DSGVO (deutsche Fassung)
7. WKO: AI-Act-Überblick (verbotene Praktiken)
8. RIS: § 120 StGB – Missbrauch von Tonaufnahme-/Abhörgeräten